SHA2对Domino8.5.3 FP6服务器的支持？

Question

在这个来自IBM的technote中，您可以找到以下答案：

Q1:可以在Domino9.x服务器上导入SHA-2证书，然后在Domino8.5.x服务器上使用这个密钥环吗？No. Domino8.5.x缺乏SHA-2的加密基础结构。这意味着，如果您使用9.x以及上面描述的临时修复和和KYRTool导入证书，您可以在Domino9.0或以上服务器上使用这个键环，但不能在Domino9.0前的Domino服务器上使用这个键环。 Q2:可以在8.5.x或更早版本上获得支持SHA-2的修补程序吗？No.，这是不可能的，因为Domino9.0之前的版本缺乏SHA-2的加密基础结构。

对Domino 9.x的更新是处理此问题的唯一方法吗？如果是这样的话，需要多长时间，相关的浏览器(即firefox和chrome)才会取消对SHA-1的支持？

Answer 1

是的，从长远来看，升级到Domino 9是唯一的解决方案.作为解决办法，您可以使用反向代理解决方案(例如使用Apache、NGINX或HAProxy)，请参阅https://frostillic.us/blog/posts/6AF303DE836BA02D85257D570058B1CA作为示例。

关于浏览器支持SHA-1：

• 微软：http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx
• 谷歌：http://googleonlinesecurity.blogspot.co.uk/2014/09/gradually-sunsetting-sha-1.html
• Mozilla：https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/

Answer 2

为了能够在Domino8.5.3中获得SHA-2证书，您可以在Domino前面安装一个反向代理，并让该代理处理加密。但当然，您有两台机器和两个不同的软件环境需要维护。而且你还有一个“非常老”的软件在运行。

截至这个链接，第一个放弃SHA-1支持的将是微软在2016年1月。在此之前，Chrome将显示警告，但仍然接受警告。火狐将不接受2017年1月后的SHA-1 。从那时起，Chrome也会将其视为“肯定的不安全”。

最佳建议:尽可能快地将服务器更新到9.0.1。工作量很小，然后您就可以本机处理TLS 1.2